חל על
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: 14 באוקטובר 2025

מזהה KB: 5068202

מאמר זה כולל הדרכה עבור:  

  • ארגונים עם מכשירים ועדכונים של Windows המנוהלי על-ידי IT.

הזמינות של תמיכה זו:  

  • מפתחות הרישום AvailableUpdates, UEFICA2023Status, UEFICA2023Error, HighConfidenceOptOut ו- MicrosoftUpdateManagedOptIn כלולים בעדכונים שהופצו בתאריכים הבאים או לאחר מכן:

    • 14 באוקטובר 2025: הגירסאות הנתמכות כוללות את Windows 10, גירסה 22H2 וגירסאות חדשות יותר (כולל 21H2 LTSC), את כל הגירסאות הנתמכות של Windows 11 וכן Windows Server 2022 ואילך.

    • 11 בנובמבר 2025: עבור גירסאות של Windows שעדיין תומכות.

במאמר זה

מבוא

מסמך זה מתאר תמיכה בפריסה, ניהול וניטור של עדכוני אישור האתחול המאובטח באמצעות מפתחות הרישום של Windows. המפתחות מורכבים מהרכיבים הבאים: 

  • מפתח אחד להפעלת הפריסה של מנהל האישורים והאתחול במכשיר.

  • שני מפתחות לניטור מצב הפריסה.

  • שני מקשים לניהול הגדרות ההצטרפות/ביטול ההצטרפות עבור שני מסייעי הפריסה הזמינים.

ניתן להגדיר מפתחות רישום אלה באופן ידני במכשיר או מרחוק באמצעות תוכנת ניהול צי זמינה. שיטות פריסה אחרות, כגון מדיניות קבוצתית, Intune ו- WinCS, מתוארות במאמר מכשירי Windows עבור עסקים וארגונים עם עדכונים המנוהלי על-ידי IT.  

מפתחות רישום של אתחול מאובטח

במקטע זה

מפתחות רישום

כל מפתחות הרישום של האתחול המאובטח המתוארים במסמך זה ממוקמים תחת נתיב רישום זה: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

הטבלה הבאה מתארת כל אחד מערכי הרישום. 

ערך רישום

סוג

תיאור & שימוש

עדכונים זמינים

REG_DWORD (מסיכת סיביות)

עדכן דגלי גורם מפעיל.

קובע אילו פעולות עדכון של אתחול מאובטח יש לבצע במכשיר. הגדרת שדה הסיביות המתאים כאן מפעילה את הפריסה של אישורי אתחול מאובטח ועדכונים קשורים חדשים. עבור פריסה ארגונית, יש להגדיר זאת כ- 0x5944 (הקסד') - ערך המאפשר את כל העדכונים הרלוונטיים (הוספת אישורי רשות האישורים (CA) החדשים של 2023, עדכון KEK והתקנה של מנהל האתחול החדש). 

בהגדרות: 

  • 0 או לא הוגדרו - לא מבוצע עדכון מפתח אתחול מאובטח.

  • 0x5944 – פרוס את כל האישורים הדרושים ועדכן אותם למנהל PCA2023 האתחול החתום

UEFICA2023Status

REG_SZ (מחרוזת)

מחוון מצב פריסה.

משקף את המצב הנוכחי של עדכון מפתח האתחול המאובטח במכשיר. היא תוגדר לאחד מערכים אלה של הטקסט:

  • לא התחלה:העדכון עדיין לא הופעל.

  • InProgress:העדכון מתבצע באופן פעיל.

  • עודכן: העדכון הושלם בהצלחה.

בהתחלה המצב הוא NotStarted. הוא משתנה ל- InProgress לאחר תחילת העדכון, ולבסוף לעדכן לאחר פריסת כל המפתחות החדשים ומנהל האתחול החדש. אם קיימת שגיאה, ערך הרישום UEFICA2023Error מוגדר כקוד שאינו אפס.

UEFICA2023Error

REG_DWORD (קוד)

קוד שגיאה (אם בכלל).

ערך זה נשאר 0 בהצלחה. אם תהליך העדכון נתקל בבעיה, UEFICA2023Error מוגדר לקוד שגיאה שאינו אפס התואם לשגיאה הראשונה שהתרחשה. שגיאה כאן מרמזת על כך שעדכון האתחול המאובטח לא הצליח באופן מלא ועלותה לדרוש חקירה או תיקון במכשיר זה.  

לדוגמה, אם עדכון מסד הנתונים (מסד הנתונים של חתימות מהימנות) נכשל עקב בעיית קושחה, מפתח רישום זה עשוי להציג קוד שגיאה שניתן למפות ליומן אירועים או למזהה שגיאה מתועד באירועי עדכון משתנה של אתחול מאובטח של DB ו- DBX

HighConfidenceOptOut

REG_DWORD

אפשרות ביטול הצטרפות.

עבור ארגונים שברצונך לבטל את הצטרפותם לדליים בעלי מהימנות גבוהה שיחלו באופן אוטומטי כחלק מ- LCU.

באפשרותך להגדיר מפתח זה לערך שאינו אפס כדי לבטל את ההצטרפות לדליי מהימנות גבוהה. 

הגדרות 

  • 0 או המפתח לא קיים – הסכמת הצטרפות

  • 1 – הסכמת הצטרפות

MicrosoftUpdateManagedOptIn

REG_DWORD

אפשרות הצטרפות.

עבור ארגונים שברצונך להצטרף לשירות 'פריסת תכונות מבוקרת' (CFR), המכונה גם Microsoft Managed.

בנוסף להגדרת מפתח זה, אפשר שליחה של נתוני אבחון נדרשים (ראה קביעת התצורה של נתוני האבחון של Windows בארגון שלך). 

הגדרות

  • 0 או המפתח לא קיים – ביטול הצטרפות

  • 1 – הסכמת הצטרפות

כיצד מקשים אלה פועלים יחד

מנהל ה- IT קובע את תצורת ערך הרישום AvailableUpdates0x5944, אשר מאותת ל- Windows לבצע את העדכון וההתקנה של מפתח האתחול המאובטח במכשיר.

עם הפעלת התהליך, המערכת מעדכנת את UEFICA2023Status מ- NotStarted ל- InProgress ולבסוף מתעדכנת עם הצלחתו. כאשר כל סיבית 0x5944 מעובדת בהצלחה, היא מנוקה.

אם שלב כלשהו נכשל, קוד שגיאה נרשם ב- UEFICA2023Error (והמצב נשאר InProgress).

מנגנון זה מספק למנהלי מערכת דרך ברורה להפעיל ולעקוב אחר הפריסה לכל מכשיר. 

פריסה באמצעות מפתחות רישום 

פריסה לקבוצת מכשירים כוללת את השלבים הבאים: 

  1. הגדר את ערך הרישום AvailableUpdates0x5944 בכל אחד מהמכשירים שיש לעדכן.

  2. נטר את מפתחות הרישום UEFICA2023Status ו- UEFICA2023Error כדי לראות שהמכשירים מתקדמים. זכור כי המשימה שמעבדת עדכונים אלה פועלת פעם אחת בכל 12 שעות. שים לב שייתכן שהעדכון של מנהל האתחול לא יקרה עד לאחר ביצוע הפעלה מחדש.

  3. בדוק בעיות אם הן מתרחשות. אם UEFICA2023Error אינו אפס במכשיר, באפשרותך לבדוק ביומן האירועים אם קיימים אירועים הקשורים לבעיה זו. ראה אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח לקבלת רשימה מלאה של אירועי אתחול מאובטח.

הערה לגבי הפעלות מחדש: ייתכן שתידרש הפעלה מחדש כדי להשלים את התהליך, אתחול הפריסה של עדכוני האתחול המאובטח לא יגרום להפעלה מחדש. אם נדרשת הפעלה מחדש, פריסת האתחול המאובטח מסתמכת על הפעלה מחדש במהלך הרגיל של השימוש במכשיר. 

בדיקת מכשירים באמצעות מפתחות רישום 

בעת בדיקת מכשירים בודדים כדי לוודא שהמכשירים יעבדו את העדכונים כראוי, מפתחות הרישום יכולים להיות דרך פשוטה לבדיקה. 

כדי לבדוק זאת, הפעל כל אחת מהפקודות הבאות בנפרד מהנחיה של PowerShell של מנהל מערכת: 

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

הפקודה הראשונה מפעילה את פריסת מנהל האישורים והאתחול במכשיר. הפקודה השניה גורמת למשימה שמעבדת את מפתח הרישום AvailableUpdates לפעול באופן מיידי. בדרך כלל הפעילות פועלת כל 12 שעות. 

באפשרותך למצוא את התוצאות על-ידי התבוננות במפתחות הרישום UEFICA2023Status ו- UEFICA2023Error ואת יומני האירועים כמתואר באירועי עדכון משתנה של DB ו- DBX של אתחול מאובטח. 

הסכמת הצטרפות והצטרפות לסיועים 

ניתן להשתמש במפתחות הרישום HighConfidenceOptOut ו- MicrosoftUpdateManagedOptIn כדי לנהל את שני ה"אסים" בפריסה המתוארים במכשירי Windows עם עדכונים המנוהלי על-ידי IT

  • מפתח הרישום HighConfidenceOptOut שולט בעדכון האוטומטי של מכשירים באמצעות העדכונים המצטברים. עבור המכשירים שבהם Microsoft התעדכנת בהצלחה במכשירים ספציפיים, הם ייחשבו למכשירים בעלי רמת מהימנות גבוהה, והעדכונים של אישור האתחול המאובטח יתבצעו באופן אוטומטי. הגדרת ברירת המחדל עבור הצטרפות זו.

  • מפתח הרישום MicrosoftUpdateManagedOptIn מאפשר למחלקות IT להצטרף לפריסה אוטומטית המנוהלת על-ידי Microsoft. הגדרה זו אינה זמינה כברירת מחדל והגדרתה להצטרפות אחת. הגדרה זו דורשת גם שהמכשיר ישלח נתוני אבחון אופציונליים.

גירסאות נתמכות של Windows

טבלה זו מנתקת עוד יותר את התמיכה בהתבסס על מפתח הרישום. 

מפתח 

גירסאות נתמכות של Windows 

עדכונים זמינים 

UEFICA2023Status 

UEFICA2023Error 

כל הגירסאות של Windows התומכות באתחול מאובטח (Windows Server 2012 וגירסאות מתקדמות יותר של Windows).  

הערה: בעוד שנתונים מהימנות נאספים ב- Windows 10, גירסאות LTSC, 22H2 וגירסאות מתקדמות יותר של Windows, ניתן להחיל אותם על מכשירים הפועלים בגירסאות קודמות של Windows.    

  • Windows 10, גירסאות LTSC ו- 22H2

  • Windows 11, גירסאות 22H2 ו- 23H2

  • Windows 11, גירסה 24H2

  • Windows Server 2025

HighConfidenceOptOut 

MicrosoftUpdateManagedOptIn 

אירועי שגיאה של אתחול מאובטח

​​​​​​​​​​​​​​אירועי שגיאה כוללים פונקציית דיווח קריטית כדי לקבל מידע על מצב אתחול מאובטח והתקדמות.  לקבלת מידע אודות אירועי השגיאה, ראה אירועי עדכון של משתני DB ו- DBX של אתחול מאובטח. אירועי השגיאה מתעדכנים במידע נוסף אודות אירועים עבור אתחול מאובטח. 

שינויי רכיבים נוספים עבור אתחול מאובטח 

במקטע זה

שינויי TPMTasks 

שנה TPMTasks כדי לקבוע אם מצב המכשיר כולל את אישורי האתחול המאובטח המעודכנים. נכון לעכשיו, הוא יכול לקבוע זאת, אך רק אם CFR בוחר מחשב לעדכון. קביעה זו והרישום הבא צריכים להתרחש בכל הפעלת אתחול ללא קשר ל- CFR. אם אישורי האתחול המאובטח אינם מעודכנים באופן מלא, הם יטביעו את שני אירועי השגיאה המתוארים לעיל. אם האישורים מעודכנים, הם י emit the Information event. אישורי האתחול המאובטח שיש לבדוק הם:  

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023 ו- Microsoft Option ROM UEFI CA 2023 – שני הסכם זה חייב להיות קיים רק אם Microsoft UEFI CA 2011 קיים. אם Microsoft UEFI CA 2011 אינו קיים, לא נדרשת בדיקה.

  • Microsoft Corporation KEK 2K CA 2023

אירוע מטה-נתונים של מחשב 

אירוע זה יאסוף את המטה-נתונים של המחשב וינפנפ את האירוע הבא:

  • BucketId + אירוע דירוג מהימנות   

אירוע זה ישתמש במטה-נתונים של המחשב כדי למצוא את הערך התואם במסד הנתונים של המחשבים (ערך Bucket). המחשב יעצב ויפתח אירוע עם נתונים אלה יחד עם כל מידע בר-סמך בנוגע למיכל. ​​​​​​​ 

סיוע רב-ביטחון למכשיר 

עבור מכשירים בעלי מיכלים בעלי מהימנות גבוהה, אישורי האתחול המאובטח ומנהל האתחול החתום של 2023 יוחלו באופן אוטומטי.   

העדכון יופעל בו-זמנית עם יצירת שני אירועי השגיאה, והאירוע BucketId + Confidence Rating כולל דירוג בעל רמת מהימנות גבוהה.   

ביטול הצטרפות

עבור לקוחות שברצונך לבטל את ההצטרפות, מפתח רישום חדש יהיה זמין באופן הבא:   

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot

שם המקש

HighConfidenceOptOut

סוג מפתח

DWORD

ערך DWORD

0 או המפתח לא קיים – סיוע בביטחון גבוה זמין.    

1 – סיוע במהימנות גבוהה אינו זמין   

כל ערך אחר אינו מוגדר   

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות